Появляется вредоносный скрипт на сайте =(
Страницы: Пред. 1 2
Появляется вредоносный скрипт на сайте =(
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
Скачайте самые новые фильмы торент
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Чебоксары, netbynet.ru ))))
В Питере тоже есть, в одном жилом комплексе
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
Цитата
Coder пишет:
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
ai-bolit тема конечно, особенно эвристика. Меня неоднократно выручал
Изменено: xschneider - 21 Октября 2014 12:18
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
У меня php.mail.log и maillog показывал, что это скрипты с помощью sendmail спамили сообщениями по 25-му порту а все потому что sendmail настроен как relay. А само веселье началось 10 октября, мне позвонил знакомый саппортер от провайдера, говорит типа более 500 сообщений в секунду по 25 порту шпарит. tcpdump port 25 и показал что правда... mailq - показал что еще 100500 в очереди... конечно я их убрал из очереди
Изменено: xschneider - 21 Октября 2014 12:25
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
access_log из Apache или в самом сайте?
С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log
Изменено: xschneider - 21 Октября 2014 12:58
Цитата
Coder пишет:
Самому найти можно и есть темы на форуме - айболит и прочее.
Вообще старая тема конечно но вдруг кому пригодится ищите в своих папках eval и удаляйте его без сомнений - без этого кусочка вредоносные скрипты и вирусы работать просто не будут
Страницы: Пред. 1 2
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
15:19 Refmate — сервис для взаимного обмена ссылками 
13:06 Продвижение по ключам 
09:47 Adsense личный опыт 
13:13 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options 
13:47 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
08:27 Ищу специалистов 
08:18 Прибыль 200$ - 400$, за каждую 1000 уников! Google, FB и тд 
08:32 Продам сайт финансовой тематики (банки, мфо) срочно с доменом!!! 
08:10 Аккаунт исполнителя fl.ru 
05:19 Swapper.ws - Обмен криптовалют. Быстро, выгодно, круглосуточно. 
04:06 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 
01:41 Продам обменник криптовалюты, а также новый обменник под ключ с обучением. Скидки на скрипты обменника 
20:22 Belurk — высокоскоростные анонимные прокси от 0,24 рублей 
18:48 Продажа аккаунтов HH.RU 
17:46 Всего п онемногу 
12:45 Куплю проигрышные букмекерские аккаунты 
11:55 Union Pharm - топовая фарма-партнерка для профессионалов! 
17:09 Точные прогнозы на футбол 
10:00 Ну что, кто куда деваете свои сайты? 
16:22 Компьютерная мышь 
23:55 Добро пожаловать в цифровой мир...